JP7114375B2 - Cyber security system with adaptive machine learning function - Google Patents
Cyber security system with adaptive machine learning function Download PDFInfo
- Publication number
- JP7114375B2 JP7114375B2 JP2018131191A JP2018131191A JP7114375B2 JP 7114375 B2 JP7114375 B2 JP 7114375B2 JP 2018131191 A JP2018131191 A JP 2018131191A JP 2018131191 A JP2018131191 A JP 2018131191A JP 7114375 B2 JP7114375 B2 JP 7114375B2
- Authority
- JP
- Japan
- Prior art keywords
- user device
- machine learning
- security
- threat
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/68—Gesture-dependent or behaviour-dependent
Description
本開示は、サイバーセキュリティの分野に関し、特にサイバーセキュリティにおける機械学習に関する。 TECHNICAL FIELD This disclosure relates to the field of cybersecurity, and more particularly to machine learning in cybersecurity.
大企業でのサイバーセキュリティのリスクは、日々のビジネス活動で使用されるネットワーク接続デバイスの急増によりますます複雑化している。従業員のスマートフォンなどのエンドユーザデバイスは、サイバー脅威の標的とされたり、又はデバイスの物理的盗難の結果として、ユーザ又は組織の機密情報を公開してしまう可能性がある。このような脅威を追跡し防ぐ従来のアプローチでは、大規模な組織全体でデバイスの脆弱性の影響を効率的に検出、解決、及び理解するための適切な情報が提供されない。 Cybersecurity risks in large enterprises are compounded by the proliferation of network-connected devices used in day-to-day business activities. End-user devices, such as employee smart phones, can be targeted by cyber threats or exposed to sensitive user or organizational information as a result of physical theft of the device. Traditional approaches to tracking and preventing such threats do not provide adequate information to efficiently detect, resolve, and understand the impact of device vulnerabilities across large organizations.
本明細書で説明する実施形態は、適応型機械学習機能を有するサイバーセキュリティシステムを提供する。情報技術(IT)システムによって管理されるエンドユーザデバイスは、ローカルマシン学習機能を備えている。機械学習機能は、経時的にユーザデバイスの使用を監視することにより学習された、特定の挙動パターンに固有のユーザシグネチャを確立する。ユーザシグネチャは、ユーザデバイスが盗難されたこと、不正ユーザによって使用されていること、又はマルウェアによって危殆化されたことを示唆する使用など、ユーザデバイスに対する異常使用イベントを定義及び検出するために機械学習機能によって使用される。このようなイベントを検出した後、機械学習機能は、セキュリティ脅威に応答する一連の自動アクションをトリガーする。実行される特定のアクション又はシーケンスは、時間の経過とともに機械学習機能に適応し、不正なアクターネットワーク及びデバイスからの問い合わせ、並びにユーザデバイス上の特定の情報又はリソースへのアクセスの試みを含む疑わしい脅威イベントのデータを効果的にマイニングすることができる。マイニングしたデータは、攻撃パターンを識別し、セキュリティ脅威に応答するための特定の命令又はデータ(例えばアクセス要求に対して提供する誤情報)をユーザデバイスに提供する機械学習機能を備える中央又はリモート管理サーバに送信することもできる。 Embodiments described herein provide a cybersecurity system with adaptive machine learning capabilities. End-user devices managed by information technology (IT) systems are equipped with local machine learning capabilities. The machine learning function establishes user signatures unique to particular behavioral patterns learned by monitoring user device usage over time. User signatures are machine-learned to define and detect abnormal usage events for user devices, such as usage that suggests the user device has been stolen, used by unauthorized users, or compromised by malware. Used by functions. After detecting such an event, machine learning capabilities trigger a series of automated actions in response to the security threat. The specific actions or sequences performed adapt over time to machine learning capabilities to detect suspicious threats, including queries from rogue actor networks and devices, and attempts to access specific information or resources on user devices. Event data can be effectively mined. Mined data may be used by central or remote management with machine learning capabilities to identify attack patterns and provide user devices with specific instructions or data (e.g., misinformation to provide in response to access requests) to respond to security threats. You can also send it to the server.
一実施形態は、ネットワークを介して複数のユーザデバイスを管理するよう構成されているサーバと、インタフェイス及びプロセッサを含むユーザデバイスとを含むシステムである。インタフェイスは、ネットワーク上のサーバと通信するよう構成されており、かつ、プロセッサは、ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し、使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出し、異常使用がセキュリティ脅威を表すものであるかどうかを判定し、かつ、1以上の自動アクションを実行してセキュリティ脅威に応答するようにユーザデバイスへ命令するよう構成されている機械学習機能を実装する。 One embodiment is a system that includes a server configured to manage multiple user devices over a network, and the user devices including an interface and a processor. The interface is configured to communicate with a server on the network, and the processor monitors user interaction with the user device over time to establish a usage profile and, based on usage profile discrepancies, controls the user device. , determine whether the abnormal use represents a security threat, and instruct the user device to perform one or more automated actions to respond to the security threat. implement machine learning capabilities that
別の実施形態は、ユーザデバイスの使用履歴に基づいてユーザデバイスの異常使用を検出し、異常使用の情報を機械学習機能に入力し、サイバー脅威の特性を決定するよう構成されているプロセッサを含む装置である。プロセッサはまた、サイバー脅威の特性に基づいてユーザデバイスが実行する自動アクションを決定し、サイバー脅威に応答するための自動アクションを実行するようにユーザデバイスへ命令するよう構成されている。 Another embodiment includes a processor configured to detect anomalous use of a user device based on a history of use of the user device, input information of the anomalous use into a machine learning function, and determine cyber threat characteristics. It is a device. The processor is also configured to determine an automated action to be taken by the user device based on the characteristics of the cyberthreat and instruct the user device to take the automated action to respond to the cyberthreat.
他の例示的な実施形態(例えば上述の実施形態に関する方法及びコンピュータ可読媒体)は、後述する。上述の特徴、機能及び利点は、様々な実施形態において単独で実現することが可能であり、又はさらに別の実施形態において組み合わせることが可能であるが、それらのさらなる詳細は、以下の説明及び図面を参照して理解することができる。 Other exemplary embodiments (eg, methods and computer-readable media for the above-described embodiments) are described below. The features, functions and advantages described above may be implemented singly in various embodiments or may be combined in still further embodiments, further details of which can be found in the following description and drawings. can be understood with reference to
ここで、本開示のいくつかの実施形態を、例示としてのみ、添付図面を参照して説明する。すべての図面で、同じ参照番号は、同じ要素又は同じタイプの要素を表わす。
これらの図面及び以下の説明により、本開示の特定の例示的な実施形態を示す。したがって、当業者は、本明細書に明示的に記載又は図示されていない様々な装置を考案して本開示の原理を具現化することができるが、それらは本開示の範囲に含まれることを理解されたい。さらに、本明細書に記載のいかなる実施例も、本開示の原理の理解に資するためのものであり、具体的に列挙された実施例及び諸条件に限定されないものとして解釈されるべきである。結果として、本開示は、下記に記載される特定の実施形態又は実施例に限定されず、特許請求の範囲及びその等価物によって限定される。 These drawings and the following description illustrate certain exemplary embodiments of the disclosure. Accordingly, one skilled in the art may devise various apparatus not expressly described or illustrated herein to embody the principles of the present disclosure, but are intended to be within the scope of the present disclosure. be understood. Moreover, any examples described herein are intended to aid in understanding the principles of the disclosure and should not be construed as limited to the specifically recited examples and conditions. As a result, the present disclosure is not limited to the specific embodiments or examples described below, but by the claims and their equivalents.
図1は、例示的な実施形態における企業ネットワーク環境を示す。企業ネットワーク環境100は、大規模な組織又は企業のコンピュータセキュリティを管理する管理システム110を備える企業ネットワーク102を含む。企業ネットワーク102はまた、サーバ、ゲートウェイ、ファイアウォール、ルータ、及び企業ネットワーク102と外部ネットワーク(単数又は複数)124との間のトラフィックを監視し、疑わしいトラフィックを報告/ブロックする他のネットワーク要素等のエッジデバイス1081、2...Nによって形成される侵入検知システム106を含む。企業ネットワーク102は、各ユーザ1521、2...Nによって作動されるユーザ機器(UE)1501、2...Nをサポートして、様々なコンピュータタスクを実行する。UE150は、例えばパーソナルコンピュータ、ラップトップ、スマートフォン等を含み得る。UE150は、企業の従業員又は顧客によって作動され得る。
FIG. 1 illustrates an enterprise network environment in an exemplary embodiment. A
図1に示すように、UE150は、企業ネットワーク102と直接的にインタフェイスする(例えば、中で作動する)か、又は1以上の外部ネットワーク124を介して間接的にインタフェイスする(例えば、外で作動する)ことができる。いずれにしても、UE150は、インターネットなどの外部ネットワーク124を介して、ウェブサイト、データベース及びサーバ等の外部リソース126にアクセスすることができる。外部リソース126の一部、又は外部ネットワーク124上の悪意のあるアクター128は、UE150にセキュリティ脅威を与える可能性がある。セキュリティ脅威は、UE150を介して企業に属する機密又は貴重な情報にアクセスしようとする、手動又は自動攻撃を含み得る。
As shown in FIG. 1, UE 150 interfaces directly with (eg, operates within)
多くの最新のセキュリティ脅威には、既存の検出/応答メカニズムを回避するために、脅威を時間とともに自動的に進化する洗練されたテクニックが含まれている。さらに、機密又は貴重な企業情報は、後に企業ネットワーク102内で悪用する目的で企業ネットワーク102(例えばモバイルデバイス)の外部のデバイスを標的とする攻撃にますます晒されやすくなっている。従来のシステムでは、ネットワークに接続されている、企業に関係するデバイスの悪用又は物理的な盗難を伴う攻撃を検出するのは困難であり、一般的にセキュリティ担当者は、企業のセキュリティ上の脆弱性を識別して修復するのに使用することができるであろう、攻撃元に関する情報を収集することができない。
Many modern security threats contain sophisticated techniques that automatically evolve the threat over time to evade existing detection/response mechanisms. Additionally, sensitive or valuable corporate information is becoming increasingly vulnerable to attacks targeting devices outside the corporate network 102 (eg, mobile devices) for later exploitation within the
したがって、企業ネットワーク環境100のコンピュータセキュリティを改善するために、管理システム110、リモートサーバ130及びUE150が、適応型セキュリティシステム170によって強化されてもよい。UE150に関しては、適応型セキュリティシステム170は、特定のデバイスに固有の挙動プロファイルに基づいてセキュリティ脅威を検出し、それに応答することができる。すなわち、各UE150は、異なる性能で、異なる環境下で、異なるユーザ152によって作動することができ、適応型セキュリティシステム170は、各UE150のローカル使用及び設定に従って自動セキュリティアクションを制御することができる。リモートサーバ130に関しては、適応型セキュリティシステム170は、進行中のセキュリティ脅威に対する支援機能をUE150に提供することができる。管理システム110に関しては、適応型セキュリティシステム170が、システム全体のセキュリティ脅威パターンの分析を提供して、攻撃者プロファイル及びセキュリティルールを確立することができる。企業ネットワーク環境100は議論のための例示的な環境であることと、本明細書に記載の適応型セキュリティシステム170の特徴は代替の環境及びアプリケーションにおいて採用されてもよいことが理解されよう。管理システム110、リモートサーバ130及びUEに関する適応型セキュリティシステム170の動作の実例及び詳細は、以下で論じられる。
Accordingly,
図2は、例示的な実施形態における適応型セキュリティシステムのブロック図である。適応型セキュリティシステム170は、インタフェイスコンポーネント202、1以上のプロセッサ204、及びメモリ206を含む。インタフェイスコンポーネント202は、外部ネットワーク124及び/又は企業ネットワーク102などのネットワークを介してメッセージを交換するためにUE150、リモートサーバ130又は管理システム110と通信するよう構成されているハードウェアコンポーネント又はデバイス(例えばトランシーバー、アンテナ等)を含んでもよい。プロセッサ204は、内部回路、ロジック、ハードウェア等を表し、適応型セキュリティシステム170の機能を提供する。メモリ206は、データ、命令、アプリケーション等のためのコンピュータ可読記憶媒体(例えば読み出し専用メモリ(ROM)又はフラッシュメモリ)であり、プロセッサ204によってアクセス可能である。適応型セキュリティシステム170は、図2に具体的に示されていない様々な他のコンポーネントを含むことができる。
FIG. 2 is a block diagram of an adaptive security system in an exemplary embodiment;
プロセッサ204は、機械学習機能(Machine Learning Function:MLF)210を実装する。MLF210は、機械学習技術を実施するように動作可能なハードウェア、ファームウェア及び/又はソフトウェアの任意の組み合わせで実装され得る。機械学習とは一般に、入力データを解析し、データから学習し、その学習に基づいて出力を適合させることが可能な自動化プロセスを指す。これは、同じ入力が与えられたら同じステップが繰り返されるように命令又はプログラミングが予め定義されており明示的な、従来のコンピュータプロセスとは異なる。すなわち、MLF210は、事前に定義されたアクティビティを有するのではなく、データ内のパターンを観察するように訓練され、明示的なハンドコーディングプログラミング又はユーザの介入/命令なしに取るべきアクション又はステップを時間とともに適応的に調整することができる。
図3は、例示的な実施形態における、適応型セキュリティシステム170によって強化されたUE150のブロック図である。UE150は、ラップトップ又はスマートフォンなどのユーザデバイス、ルータ又はネットワーク要素などのエッジデバイス108、あるいは企業ネットワーク102の管理システム110によって管理される任意の他のデバイスを含むことができる。UE150は、UE150の動作を制御し、かつ、本明細書に記載の技術の実施形態を実装せよとのコンピュータ実行可能命令を処理するよう構成されている1以上のプロセッサ302を含む。プロセッサ302は、ハードウェア304を含むUE150の様々なサブシステムと対話する。ハードウェア304は、メモリ306、組み込みハードウェアコンポーネント330、処理入力コンポーネント335及びネットワークコンポーネント340を含む。この例では、ハードウェアコンポーネント330は、タッチスクリーン入力を受信するように動作可能なディスプレイ331、画像及び動画を取り込むように動作可能なカメラ332、音声を投影するように動作可能なスピーカ333、並びに音声を取り込むように動作可能なマイクロフォン334を含む。処理入力コンポーネント335は、キーボード及び外部記憶デバイスなどの入力/出力(I/O)周辺機器336、1以上のプロセッサ337、及びランダムアクセスメモリ(RAM)338を含む。例示的なネットワークコンポーネント340は、Bluetooth341、全地球測位衛星(GPS)342、WiFi343及び無線機344のための通信コンポーネントを含む。
FIG. 3 is a block diagram of
UE150は、モジュール360-365に連結されているMLF210を含む適応型セキュリティシステム170によって強化される。より詳細には、適応型セキュリティシステム170は、アクティビティ監視モジュール360、異常検出モジュール361、脅威応答モジュール362、初期化モジュール363、ハニーポットモジュール364及びレポートモジュール365を含む。モジュール360-365の各々は、ハードウェア、ファームウェア及びソフトウェアの任意の組み合わせで実装されることが可能であり、かつ、MLF210とインタフェイスするか又はそれに実装されて、セキュリティ脅威を検出し、それに応答するための機械学習技術を実行することができる。適応型セキュリティシステム170及び/又はMLF210のコンポーネントは、オペレーティングシステム(OS)310の一部、すなわちOS310のカーネル312(例えば、OS310のカーネル312の上のメモリ306の保護領域、別個のプログラム若しくはアプリケーション内のハードウェア抽象化層(HAL)318、特殊なハードウェアバッファ若しくはプロセッサ、又はこれらの任意の組み合わせ)に実装することもできる。さらに、適応型セキュリティシステム170及び/又はMLF210のコンポーネントは、プロセッサ302による使用のためにメモリ306に格納されてもよく、又はプロセッサ302による使用のためにRAM338に一時的にロードされてもよいと考えられる。
OS310は、大まかに、ネイティブのアプリケーションとユーザインストールのアプリケーションを含むことができるアプリケーション層305、サービス、マネージャ及びランタイム環境を含むことができるフレームワーク層307、並びにシステムライブラリ及び他のユーザライブラリを含むことができるライブラリ層308を含む。ユーザは、OS310上で動くアプリケーションを制御及び使用するためのメニュー、ボタン及び選択可能な制御項目を提示するグラフィカルユーザインタフェイス(GUI)などのインタフェイス303を介して、OS310と対話することができる。HAL318は、OS310とハードウェア層との間の層であり、OS310を異なるプロセッサアーキテクチャに合わせる役割を担う。OS310は、HAL318をカーネル312内部に含むか、又はアプリケーションがハードウェア周辺機器と対話するための一貫したインタフェイスを提供するデバイスドライバの形態で含んでもよい。それに代えて又はそれに加えて、HAL318は、システムイベント、状態変化などを監視/観察するために、UE150の様々なレベルでアプリケーションプログラミングインタフェイス(API)を調整することができる。このように、OS310及び/又はHAL318は、UE150のハードウェア又はリソースにアクセスするためのアプリケーション又はアクションを認可する、UE150のための様々なセキュリティ設定を提供することができる。
The
モジュール360-365は、OS310及び/又はHAL318の動作を修正して、UE150のためのセキュリティ設定を適合させることができる。例えば、アクティビティ監視モジュール360は、メモリ130に向けられた入出力(I/O)要求のタイプの変化、ファイルシステム314のファイルへのアクセス、修正、ファイル名変更等の頻度の変化など、UE150上で発生するOS310の様々な内部サービス及びアクティビティを監視することができる。アクティビティ監視モジュール360は、内部データ経路上のシステムサービス316を介して受信された通信要求の変化を検出し、OS310及び/又はHAL318を介して発生する、UE150のサブシステムとの様々な交換命令、メッセージ又はイベントを記録することができる。アクティビティ監視モジュール360は、MLF210と対話して、学習された特性を取得し、監視されているリソースの数を減らすか増加させるか、又は監視されているリソースを変更するかどうかを判定することができる。アクティビティ監視モジュール360は、記録された情報をメモリ306にデバイス使用データ374として格納することもできる。
Modules 360 - 365 can modify the operation of
異常検出モジュール361は、UE150のデバイスが異常挙動を示しているかどうかを判定するよう構成される。異常検出モジュール361は、MLF210と対話して、脅威レベル、タイプ、分類などの異常使用情報からセキュリティ脅威の特性を取得することができる。それに代えて又はそれに加えて、異常検出モジュール361は、攻撃の識別又はアクションなどのセキュリティ脅威に関する情報を識別又は予測する攻撃者データ376を生成することができる。脅威応答モジュール362は、特定のタイプの異常挙動又はセキュリティ脅威に対するアクションプランを選択するよう構成される。初期化モジュール363は、セキュリティ設定370、パラメータ371、又はその他のポリシー、ルール若しくはユーザ設定を、MLF210によって動作を実行するためのパラメータとして適用するよう構成されている。ハニーポットモジュール364は、ユーザの要求又はアクションを防止又は妨害するよう構成されている。ハニーポットモジュール364は、HAL318を使用して、機密情報を隠し、かつ/又は悪意のあるデータ要求を誤ったデータセットに迂回させる、誤データ377を生成/提供する保護データ373を実装することができる。報告モジュール365は、機械間通信又は自動メッセージ交換を実施して、デバイス使用データ374及び/又は攻撃者データ376を、外部検出/セキュリティ脅威への応答のためにリモートサーバ130、管理システム110又はピアUE150に送信することができる。セキュリティ脅威を検出し、一連の自動アクションをトリガーするためにUE150に合わせて調整された機械学習技術を実行するための、モジュール360-365の動作のさらなる詳細を、以下に述べる。
図4は、例示的な実施形態における、適応型セキュリティシステム170によって強化されたリモートサーバ130のブロック図である。リモートサーバ130は、1以上の外部ネットワーク124、1以上のコントローラ404、及びメモリ406を介してUE150及び/又は管理システム110と通信するよう構成されているインタフェイスコンポーネント402を含む。コントローラ404は、内部回路、ロジック、ハードウェア等を表し、リモートサーバ130の機能を提供する。メモリ406は、データ、命令、アプリケーション等のためのコンピュータ可読記憶媒体であり、コントローラ404によってアクセス可能である。リモートサーバ130は、図4に具体的に示されていない様々な他のコンポーネントを含むことができる。
FIG. 4 is a block diagram of
コントローラ404は、MLF210及び虚偽情報モジュール414を含む適応型セキュリティシステム170を実装する。虚偽情報モジュール414を、ハードウェア、ファームウェア及びソフトウェアの任意の組み合わせで実装するか、又はMLF210とインタフェイスするか若しくはそれに実装して、セキュリティ脅威を検出及び/又はそれに応答するための機械学習技術を実行することができる。コントローラ404はまた、位置、地域、ネットワーク、部門、ユーザグループ又は作業サイトなど、企業に関する共通の特性lによってグループ化された1以上のUE150のセキュリティ機能を外部ネットワーク124を介してリモート管理するよう構成されているデバイスサブグループマネージャ420を実装する。UE150のサブグループは、一般的なタイプのデバイス、モデル、プラットフォーム、ハードウェア、セキュリティ属性、又は共通の使用法に基づくこともできる。デバイスサブグループマネージャ420は、UE150からMLF210にデバイス挙動情報を入力して、パターンデータベース422内のUE150の母集団から異常デバイス使用データ及びその他のセキュリティイベントデータを確立することができる。パターンデータベース422を使用して、パターンを識別し、UE150の制御についての推奨事項を特定のタイプのセキュリティ脅威に適合させるためにMLF210を訓練してもよい。例えば、虚偽情報モジュール414は、MLF210を使用して、パターンデータベース422のパターンに従ってUE150に誤ったデータ377を提供することができる。さらに、適応型セキュリティシステム170は、管理システム110及び/又は1つのUE150に代わって機能を実行するように適合されている。例えば、ローカルセキュリティマネージャは、UE150のユーザを認証することができ、かつ、特権を取り消し、アプリケーションを終了させるか、又はその他の方法でUE150上の危殆化又は盗難された機能を無効にするコマンドを発行することができる。したがって、リモートサーバ130において、適応型セキュリティシステム170は、それがデータの中から探している特性若しくはパターン及び/又は、それが入力を分類して、それに応答する方法をUE150のサブグループ特性に基づいて変更することができる。
図5は、例示的な実施形態における、適応型セキュリティシステム170によって強化された管理システム110のブロック図である。管理システム110は、例えば企業ネットワーク102などの1以上の内部ネットワーク及び/又は1以上の外部ネットワーク124を介してUE150及び/又は管理システム110と通信するよう構成されているインタフェイスコンポーネント502を含む。管理システム110はまた、侵入イベントシーケンスを表示するよう構成されているグラフィカルユーザインタフェイス(GUI)508を含む。管理システム110は、1以上のコントローラ504と、メモリ506とをさらに含む。コントローラ504は、内部回路、ロジック、ハードウェア等を表し、管理システム110の機能を提供する。メモリ506は、データ、命令、アプリケーション等のためのコンピュータ可読記憶媒体であり、コントローラ504によってアクセス可能である。管理システム110は、図5に具体的に示されていない様々な他のコンポーネントを含むことができる。
FIG. 5 is a block diagram of
コントローラ504は、MLF210及び、アクティビティ監視モジュール560と、異常検出モジュール561と、脅威応答モジュール562と、表示モジュール563とを含む1以上のモジュール560-563を含む適応型セキュリティシステム170を実装する。モジュール560-563の各々は、ハードウェア、ファームウェア及びソフトウェアの任意の組み合わせで実装されることが可能であり、かつ、MLF210とインタフェイスするか又はそれに実装されて、セキュリティ脅威を検出し、それに応答するための機械学習技術を実行することができる。コントローラ504はまた、エッジデバイス108及びUE150などの企業ネットワーク102内で作動するか又は企業ネットワーク102と対話するデバイス用の、システム全体のセキュリティポリシーを管理するグローバルデバイスマネージャ520を実装する。さらに管理システム110は、UE150のためのユーザ、デバイス及びパターン情報を維持するデバイスデータベース522を含むか又はそれに連結されていてもよく、該データベースは、認可されたUE150又はリモートサーバ130によって分配/回収され得、企業ネットワーク環境100のセキュリティをUE150のエンドユーザ又は企業の特定のニーズに合わせるために機械学習に適用され得る。
管理システム110はまた、エッジデバイス108において検出された異常トラフィックをMLF210にルーティングして、トラフィックデータベース532におけるトラフィックパターンを確立するよう構成されているネットワークトラフィックマネージャ530を含む。エッジデバイス108から取得された異常なトラフィック情報及びUE150から取得された異常デバイス使用情報を、管理システム110において集約して、企業の脆弱性を検出し、グローバルセキュリティマネージャ114のポリシーを改良するためにMLF210に適用することができる。管理システム110、リモートサーバ130及びUE150の多数の構成が可能である。例えば、管理システム110及び/又はリモートサーバ(単数又は複数)130は、クラウド機能又は、同じ若しくは類似の一連の記述された関数を分散させて実行するサーバ/コンピュータのクラスタを独立して又は強調して実装することができる。さらに、モジュール(例えばUEのモジュール360-365、リモートサーバの虚偽情報モジュール414、及び管理システム110のモジュール560-563)は、様々な動作を実行するものとして説明されているが、このようなモジュールは単なる例であり、後述のように、同じ又は類似の機能がより多数又はより少数のモジュールによって実行されてもよく、様々なプラットフォーム(例えばピアUE150、リモートサーバ130、管理システム110等)上で類似の機能を実行するために実装されてもよい。
図6は、例示的な実施形態における、セキュリティ脅威を検出して、それに応答する方法を示すフローチャートである。方法600は、図1の企業ネットワーク環境100に関して記載されている。とはいえ、当業者であれば、本明細書に記載の方法が、図示されていない他のデバイス又はシステムによって実行されてもよいことを認識するであろう。方法600のステップは、1以上のUE150、1以上のリモートサーバ130、管理システム110、又はこれらのいくつかの組み合わせによって実行されてもよい。本明細書に記載の方法のステップは、網羅的なものではなく、図示していない他のステップを含んでもよい。これらのステップはまた、別の順序で実施することも可能である。
FIG. 6 is a flowchart illustrating a method of detecting and responding to security threats in an exemplary embodiment.
最初に、管理システム110は、そのドメイン下のリモートサーバ130及びUE150に配布するセキュリティポリシーを定義することができる。管理システム110のセキュリティ担当者又はUE150のユーザは、UE150、ユーザ、脅威のタイプ、マシン応答等のうちの特定の1つ又はグループを対象とするカスタムセキュリティポリシー提供することができる。
First,
ステップ602において、プロセッサ(例えばUE150のプロセッサ302、リモートサーバ130のコントローラ404、及び/又は管理システム110のコントローラ504)は、MLF210を実装する。すなわち、MLF210を使用して、本明細書に記載のステップ/フローチャートのいずれかの機械学習技術を実行することができる。本明細書におけるフローチャートのステップは通常、適応型セキュリティシステム170のことを指すが、適応型セキュリティシステム170及びMLF210は、UE150、リモートサーバ130及び/又は管理システム110において様々な組み合わせでアクションを実行することができる。すなわち、機械学習は、方法の各ステップで適用され、UE150、リモートサーバ130及び/又は管理システム110によって、以下でさらに詳細に説明する様々な組み合わせで実行することができる。
At
MLF210は、異常検出、単純ベイズ分類器、サポートベクターマシン、決定木の学習、ニューラルネットワーク学習、強化学習等を含む、任意の数の適切な機械学習プロセス、アルゴリズム又は技術を実装することができる。機械学習プロセスは、設計により機械学習パラメータ(例えばサポートベクターマシンのカーネルタイプ、決定木の木の数等)で調整されてもよい。MLF210は、パターン、相関、特徴、統計、予測又は分類を決定するために入力値を変換することができる。
ステップ604において、適応型セキュリティシステム170は、UE150とのユーザアクションを経時的に監視して、使用プロファイルを確立する。UE150において、アクティビティ監視モジュール260は、UE150を監視し、メモリ306にデバイス使用データ374を記録することができる。例えば、UE150は、ユーザの挙動(例えばキーストローク、ジェスチャ、スピーチ、動き、位置等)、システム動作(例えば通知アラート、システムリソースに対するアプリケーション要求、プロセッサ割り込み等)、ユーザ152の個人情報(例えば連絡先情報、カレンダー情報など)、他のソースから受信されたコンテンツ(例えば電話、ダウンロード、ウェブサイトアクセス等)及び/又はUE150に格納されたコンテンツ(例えばマイクロフォン334から取り込まれたオーディオデータ、カメラ332から取り込まれた画像データ又は動画データ)を監視及び/又は記録することができる。
At
報告モジュール365は、リモートサーバ130及び/又は管理システム110によってリモートでトリガーされたことに応答して、及び/又は企業ネットワーク環境100で検出されたイベントに応答してトリガーされたことに応答して、特定の間隔でリモートサーバ130及び/又は管理システム110にデバイス使用データ374を送信することができる。 UE150に関連する使用履歴パターンは、UE150、リモートサーバ130及び/又は管理システム110.に格納することができる。
Reporting module 365 is responsive to being triggered remotely by
さらに、UE150は、UE150の使用に関するデータを記録するようにUE150をトリガーする、予め定義された特性及び/又は学習された特性を(例えばメモリ306に)格納するか、又は(例えば管理システム110のデバイスデータベース内で)それらに関連付けられ得る。すなわち、予め定義された特性及び/又は学習された特性は、UE150が異常使用される可能性のあるイベント、データのタイプ、位置又は特定の時点の組み合わせを、デバイス使用データの正確な監視及び/又は記録のために識別することができる。例示的なトリガーは、(例えば予定表情報又は外部データソースから得られた既知の又は予想される位置に関する)UE150の移動位置又は方向、(例えばユーザが許可される期間又は作業プロジェクトに関する)UE150の特定のデータ又は機能を使用するためのユーザ152の権限、又は(例えば同様の期間、時間などの間に確立された挙動パターンと異なる、超過した閾値に関する)一定期間のユーザ152の挙動を含む。このようなトリガーポリシー情報は、管理システム110及び/又はリモートサーバ130によってUE150に提供されてもよい。
Additionally,
ステップ606において、適応型セキュリティシステム170は、使用プロファイルの不一致に基づいてUE150の異常使用を検出する。異常使用を検出するために、UE150、リモートサーバ130及び/又は管理システム110のいずれかのMLF210によって異常使用を分析することができる。分析は、リアルタイムで行われてもよいし、後の時点(例えば、UE150が範囲内に戻った後、又は互換性のあるデバイス/システム等に再接続された後、予め定義された長さの時間)で行われてもよい。上述したように、MLF210は、予め定義された命令なしで、時間とともに進化/アップデートすることができる。したがって、異常使用の検出は、自身のデバイスシグネチャ又はUE150に関連付けられている使用プロファイルとの関係で、UE150に特有である。
At
ステップ608において、適応型セキュリティシステム170は、異常使用がセキュリティ脅威を表すものであるかどうかを判定する。適応型セキュリティシステム170は、MLF210の出力からサイバー脅威の特性を決定することができる。すなわち、異常使用情報を利用して1つ以上のMLF210を時間をかけて訓練した後、出力される機械学習結果は、例えばサイバー脅威のタイプを分類し、将来のサイバー脅迫アクション(cyber threat action)の可能性を予測し、又はデータの閾値変化率がUE150の特定のタイプのセキュリティ脆弱性と相関することを決定するために使用することができる。いくつかの実施形態では、MLF210の出力は、攻撃者によって使用される戦術、技術又は手順などの異常使用に関係する、これまでには未確認の詳細データを予測又は公開することができる。さらに、MLF210は、攻撃を編成するために使用されるサーバのインターネットプロトコル(IP)アドレス又は攻撃に使用されるファイルのハッシュ値若しくはレジストリキーなど、サイバー攻撃の結果として残されるインジケータ又はデータリソースを出力、識別又は予測することができる。
At
ステップ610において、適応型セキュリティシステム170は、1以上の自動アクションを実行してセキュリティ脅威に応答するようにUE150へ命令する。すなわち、脅威応答モジュール362は、MLF210からの出力を介して実行する1以上のアクションを選択することができる。それに代えて又はそれに加えて、UE150は、MLF210からの出力、又はリモートサーバ130及び/又は管理システム110からの命令を、自動的に実行可能な命令として受け取ることができる。自動アクションについての詳細は、後述する。
At
図7-10は、例示的な実施形態における、セキュリティ脅威に自動的に応答するための方法を示すフローチャートである。この方法は、図1の企業ネットワーク環境100に関して記載されている。とはいえ、当業者であれば、本明細書に記載の方法が、図示されていない他のデバイス又はシステムによって実行されてもよいことを認識するであろう。該方法のステップは、1以上のUE150、1以上のリモートサーバ130、管理システム110、又はこれらのいくつかの組み合わせによって実行されてもよい。本明細書に記載の方法のステップは、網羅的なものではなく、図示していない他のステップを含んでもよい。これらのステップはまた、別の順序で実施することも可能である。
7-10 are flowcharts illustrating methods for automatically responding to security threats in exemplary embodiments. The method is described with respect to the
図7は、セキュリティ脅威に応答するために実行する自動アクションを決定するための方法700を示す。方法700のステップは、上述のステップ610の一部として実行されてもよい。ステップ702において、適応型セキュリティシステム170は、セキュリティ脅威を分類する。セキュリティ脅威の分類により、フォレンジックアクションプラン704、防御的アクションプラン706及び/又は攻撃的アクションプラン708の一部として、1つ又は一連のアクションを実行するためにUE150をトリガーすることができる。例えば、特定の時刻の、特定のデバイス/ユーザ/作業サイトに対するか又は特定のタイプの疑わしいイベントの場所(locus)は、特定の一連のアクションをトリガーする可能性がある。さらに、適応型セキュリティシステム170のMLF210によって決定されたアクションは、特定のUE150、そのパラメータ、セキュリティ設定、学習された特性等に固有のものであってもよい。
FIG. 7 illustrates a
フォレンジックアクションプラン704には、例えば特定のアプリケーション、ファイル又はハードウェアコンポーネント等、UE150のターゲットリソースを監視すること、及び/又は予め定義されたか又は学習された特性を使用してUE150を認証することを含めることができる。防御的アクションプラン706には、機密データ又はファイルを隠すこと、アプリケーション又はユーザのアクセス又は許可を制限すること、及び進行中の攻撃の追加情報を収集して攻撃者を識別すること又は攻撃者の識別プロファイルを確立することを含めることできる。攻撃的アクションプラン708には、機密データ又はファイルを破壊すること、ファイルの機密データへのアクセス要求に応答して虚偽情報又は誤ったデータセットを提供すること、ホットスポットを使用して無線ネットワークを偽装し、範囲内のデバイスからデータをマイニングすること、無線及び携帯電話の信号を妨害すること、並びに進行中の攻撃(例えばキーストローク、カメラ画像/動画、マイクロフォン・オーディオ等をログする)についてのより大量のデータをマイニングできるようにUE150のパフォーマンスを制限するか又は能力を限定することを含めることができる。
図8は、例示的なフォレンジックアクションプラン704を実施するための方法800を示す。ステップ802において、適応型セキュリティシステム170は、UE150がセキュリティ脅威によって危殆化されたことを検出する。管理システム110は、UE150自体のMLF210を介して、あるいはUE150のMLF210及び/又はリモートサーバ130から中継されたメッセージに応じて、UE150がセキュリティ脅威によって危殆化されたことを検出することができる。ステップ804において、適応型セキュリティシステム170は、一定期間の間、企業ネットワーク102へのUE150のアクセスを無効にすることを延期する。ステップ806において、適応型セキュリティシステム170は、セキュリティ脅威の挙動を記録するようにユーザデバイスへ命令する。ステップ808において、UE150は、セキュリティ脅威の挙動を管理システム110に報告する。したがって、UE150が危殆化又は盗難された場合、管理システム110は、UE150を使用して、その攻撃者を企業の一部から除外せずに、攻撃者に関する情報を収集することができる。
FIG. 8 shows a
UE150は、攻撃者の挙動(例えばキーストローク、ジェスチャ、スピーチ、動き、位置等)、システム動作(例えば通知アラート、システムリソースに対するアプリケーション要求、プロセッサ割り込み等)、個人情報のリソース(例えば連絡先情報、カレンダー情報など)、他のソースから受信されたコンテンツ(例えば電話、ダウンロード、ウェブサイトアクセス等)及び/又はUE150に格納されたコンテンツ(例えばマイクロフォン334から取り込まれたオーディオデータ、カメラ332から取り込まれた画像データ又は動画データ等)を監視及び/又は記録することができる。一実施形態では、適応型セキュリティシステム170は、ハードウェアコンポーネント330(例えばマイクロフォン334、カメラ332、ネットワークコンポーネント340の1つ等)のうちの少なくとも1つをアクティブにするように、かつ、ハードウェアコンポーネント330を監視することによってセキュリティ脅威の挙動を記録するようにUE150へ命令する。管理システム110は、以下でさらに詳細に論じるように、セキュリティ脅威の挙動を受信及び分析し、自身の管理下にあるUE150向けの攻撃パターンをプロファイルすることができる。
図9は、例示的な攻撃的アクションプラン706を実施するための方法900を示す。ステップ902において、適応型セキュリティシステム170は、UE150がセキュリティ脅威によって危殆化されたことを検出する。ステップ904において、適応型セキュリティシステム170は、UE150を介してアクセス可能な機密情報を識別する。例えば、機密情報を識別するルール又はポリシー情報は、管理システム110からUE150に提供され、保護されたデータ373としてUE150のメモリ306に格納され得る。ステップ906において、適応型セキュリティシステム170は、セキュリティ脅威の特性に基づいてUE150が提供する誤ったデータセットを識別する。例えば、UE150のハニーポットモジュール364及び/又はリモートサーバ130の虚偽情報モジュール414は、MLF210と対話して、UE150のメモリ306への誤ったデータ377を生成、選択及び/又は提供することができる。その後、ステップ908において、UE150は、機密情報へのアクセス要求に応答して、誤ったデータ377を提供する。
FIG. 9 shows a
図10は、別の例示的な攻撃的アクションプラン708を実施するための方法1000を示す。ステップ1002において、適応型セキュリティシステム170は、UE150がセキュリティ脅威によって危殆化されたことを検出する。ステップ1004において、適応型セキュリティシステム170は、近接デバイスを発見するためにハードウェアコンポーネントをアクティブにするようにUE150へ命令する。例えば、MLF210は、WiFi343をアクティブにし、ホットスポットを用いて無線ネットワークを偽装するか、又はBluetooth341をアクティブにして、近接デバイスを発見若しくは接続せよとのUE150に対する命令を出力することができる。ステップ1006において、アクティビティ監視モジュール360/560は、ハードウェアコンポーネントとのメッセージ交換に関係するデータを監視及び記録して、近接デバイスの情報を収集することができる。ステップ1008において、UE150は、収集した近接デバイスの情報を管理システム110(例えばグローバルデバイスマネージャ520を含む管理サーバ)に報告する。
FIG. 10 shows a
図11は、例示的な実施形態における、異常がセキュリティ脅威を示すものかどうかを判定するための方法1100を示すフローチャートである。ステップ1102において、適応型セキュリティシステム170は、UE150が異常使用に関連することを検出する。一実施形態では、異常使用の検出は、UE150、UE150のピア(例えば、管理システム110によって管理される別のユーザデバイス)、リモートサーバ130又は管理システム110で起こってもよい。
FIG. 11 is a flowchart illustrating a
ステップ1104において、適応型セキュリティシステム170は、UE150の使用プロファイルを参照して、UE150に関連付けられているピアUE150を識別する。ステップ1106において、適応型セキュリティシステム170は、UE150の使用を確認するために、他のデバイスとの自動通信交換を開始する。例えば、リモートサーバ130又は管理システム110は、ユーザのラップトップ(又はスマートウェアラブル、スマート自動車システムなど)に、そのマイクロフォンをオンにし、そのユーザの声を確認し、確認結果を報告するコマンドを発行することによって、モバイルデバイスのユーザを認証することができる。そうすることで、リモートサーバ130又は管理システム110は、学習されたデバイス使用によって確立された同一のユーザに関連付けられ、かつ/又は互いに共通接続されているか若しくはスピーカ333の音が聞こえる範囲内、カメラの332の視野内などの、複数のUE150の学習された特性を(例えば、メモリ306内のデバイス使用データ374として、管理システム110のデバイスデータベース522内で)参照することができる。学習された特性はまた、リモートサーバ130又は管理システム110がUE150のピアを介してUE150の状態を正確に確認するためのタイムリーなコマンドを発行できるように、デバイス近接性に関連するタイミング情報も含むことができる。したがって、UE150は、セキュリティ脅威に対する正確な検出及び正確な応答を可能にするために、そのピアUE150、リモートサーバ130及び/又は管理システム110と協働することができる。その後、ステップ1108において、適応型セキュリティシステム170は、異常使用を分類して、それがセキュリティ脅威であるかどうかを判定する。セキュリティ脅威である場合、リモートサーバ130又は管理システム110は、デバイスデータベース522を参照して、セキュリティ脅威に応答するアクション決定を通知し得る特性を識別することができる。セキュリティ脅威でない場合、適応型セキュリティシステム170は、使用を認可し、それをMLF210及び異常検出モジュール361/561を適合させるための訓練例として使用することができる。
At
図12は、例示的な実施形態における、グラフィカルな侵入イベントシーケンスを導出するための方法1200を示すフローチャートであるステップ1202において、管理システム110のネットワークトラフィックマネージャ530は、ネットワークインタフェイスを介してネットワークデバイス(例えばエッジデバイス108)によって受信された通信パターンを確立するためにMLF210と対話する。一実施形態では、エッジデバイス108のアクティビティ監視モジュール360は、パターンをネットワークトラフィックマネージャ530に検出/提供することができる。ステップ1204において、適応型セキュリティシステム170は、MLF210を介して通信パターン内の侵入イベントシーケンスを検出する。例えば、MLF210は、企業ネットワーク102のサーバにおけるパケット間のパケットヘッダ、フレーム、IPアドレス、転送テーブル又は送信ルート(ホップ数)を分析し、(正常なアクティビティとして確立された)過去のアクティビティが現在のアクティビティと異なるかどうかを判定することができる。ステップ1206において、適応型セキュリティシステム170は、侵入イベントシーケンスのグラフィカルシミュレーションを生成する。例えば、表示モジュール563は、1つ又は複数のUE150に対する侵入イベントシーケンスを導出し、侵入パターン、ユーザ、位置等によってイベントをフィルタリングし、GUI508へ侵入イベントの段階的な再生を提供することができる。
FIG. 12 is a flow chart illustrating a
図13は、例示的な実施形態における、企業ネットワーク環境100のセキュリティポリシーを更新するための方法を示すフローチャート1300である。ステップ1302において、適応型セキュリティシステム170は、パターンを集約する。ネットワークトラフィックマネージャ530は、トラフィックパターンをトラフィックデータベース532に転送することができ、グローバルデバイスマネージャ520は、デバイス使用パターンをデバイスデータベース522に転送することができる。ステップ1304において、適応型セキュリティシステム170は、そのパターンに基づいて攻撃者プロファイルを構築する。その後ステップ1306において、適応型セキュリティシステム170は、企業ネットワーク102用のポリシールールを更新する。例えば、攻撃が企業ネットワーク102の特定のエリアを対象とすることが判明した場合、その特定のエリアは、アクティビティ監視モジュール560によるより集中的/頻繁な監視のための優先順位の高いチェックポイントになることができる。
FIG. 13 is a
さらに、本開示は、以下の条項による実施形態を含む。
条項1: ネットワーク上の複数のユーザデバイスを管理するよう構成されているサーバ及び、ネットワーク上のサーバと通信するよう構成されているインタフェイスコンポーネントと、ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し、使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出し、異常使用がセキュリティ脅威を表すものであるかどうかを判定し、かつ、1以上の自動アクションを実行してセキュリティ脅威に応答するようにユーザデバイスに命令するよう構成されている機械学習機能を実装するプロセッサとを備えるユーザデバイスを備えるシステム。
条項2: サーバが、ユーザデバイスがセキュリティ脅威によって危殆化されていることを検出すると、ユーザデバイスのネットワークへのアクセスを無効化することを一定期間先送りするよう構成されており、かつ、機械学習機能が、セキュリティ脅威の挙動を記録するようにユーザデバイスへ命令し、その期間中にインタフェイスコンポーネントを介してセキュリティ脅威の挙動をネットワーク上のサーバに報告するよう構成されている、条項1のシステム。
条項3: セキュリティ脅威の挙動がキーストロークデータ、オーディオデータ、画像データ、アプリケーション使用データ又はファイルアクセス要求データのうちの1又は複数を含み、かつ、サーバが、セキュリティ脅威の挙動を分析して、ネットワーク上のユーザデバイスに向けた攻撃パターンをプロファイルするよう構成されている、条項2のシステム。
条項4: 機械学習機能が、セキュリティ脅威の挙動に関するデータ収集量を増やせるように、ユーザデバイスの能力を制限するよう構成されている、条項2のシステム。
条項5: 機械学習機能が、マイクロフォン、カメラ及びネットワークインタフェイスコンポーネントのうちの1つを含む少なくとも1つのハードウェアコンポーネントをアクティブにするようにユーザデバイスへ命令し、その少なくとも1つのハードウェアコンポーネントを監視することによってセキュリティ脅威の挙動を記録するよう構成されている、条項2のシステム。
条項6: ユーザデバイスが無線インタフェイスコンポーネントを含み、かつ、機械学習機能が、無線インタフェイスコンポーネントをアクティブにして無線ネットワークを偽装するようにユーザデバイスへ命令し、その無線ネットワークに接続する無線デバイスの情報を収集し、その無線デバイスの情報をネットワーク上のサーバに報告するよう構成されている、条項1のシステム。
条項7: 機械学習機能が、セキュリティ脅威を受けやすいユーザデバイスのメモリに格納された機密情報を識別し、ユーザデバイスのメモリ内の、その機密情報に関連する誤ったデータセットを識別して、機密情報へのアクセス要求に応答して誤ったデータセットを提供するよう構成されている、条項1のシステム。
条項8: セキュリティ脅威の挙動に関する情報を受信し、かつ、セキュリティ脅威の特性に基づいて誤ったデータセットをユーザデバイスに提供するよう構成されている機械学習システムを実装するリモートサーバをさらに含む、条項1のシステム。
条項9: ユーザデバイスに関連付けられているサーバによって管理される別のユーザデバイスをさらに含み、かつ、機械学習機能が、その別のユーザデバイスに送信された、許可されたユーザがその別のユーザデバイスの近くにいることを確認せよという命令に基づいて、異常使用がセキュリティ脅威を表すかどうかを判定するよう構成されている、条項1のシステム。
条項10: プロセッサが、ユーザデバイスのオペレーティングシステムカーネルの上にある保護されたメモリ又はユーザデバイスのハードウェア抽象化層の1つの中に機械学習機能を実装する、条項1のシステム。
条項11: ユーザデバイスのインタフェイスコンポーネントを介して、ネットワーク上の複数のユーザデバイスを管理するサーバと通信すること;ユーザデバイスのプロセッサを備える機械学習機能を実装すること;ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立すること;使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出すること;その異常使用がセキュリティ脅威を表すものであるかどうかを判定すること;及び機械学習機能から得られた1以上の自動アクションを実行してセキュリティ脅威に応答するようにユーザデバイスへ命令することを含む、方法。
条項12: ユーザデバイスがセキュリティ脅威に危殆化されているとの検出に応答して、サーバにおいて、ユーザデバイスのネットワークへのアクセスの無効化を一定期間先送りすること;セキュリティ脅威の挙動を記録するようにユーザデバイスへ命令すること:及びその期間中にインタフェイスコンポーネントを介してセキュリティ脅威の挙動をネットワーク上のサーバに報告することをさらに含む、条項11の方法。
条項13: セキュリティ脅威の挙動を分析して、ネットワーク上のユーザデバイスに向けた攻撃パターンをプロファイルすることをさらに含み、かつ、セキュリティ脅威の挙動が、キーストロークデータ、オーディオデータ、画像データ、アプリケーション使用データ又はファイルアクセス要求データのうちの1つ以上を含む、条項12の方法。
条項14: 1以上の自動アクションが、セキュリティ脅威を受けやすいユーザデバイスのメモリに格納された機密情報を識別すること;ユーザデバイスのメモリ内の、その機密情報に関連する誤ったデータセットを識別すること;及び機密情報へのアクセス要求に応答して誤ったデータセットを提供することを含む、条項12の方法。
条項15: プロセッサによって実行されるプログラム命令を具現化する非一過性のコンピュータ可読媒体であって、該命令が、プロセッサに対して、ユーザデバイスのインタフェイスコンポーネントを介して、ネットワーク上の複数のデバイスを管理するサーバと通信し;ユーザデバイスを備える機械学習機能を実装し;ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し;使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出し;その異常使用がセキュリティ脅威を表すものであるかどうかを判定し;かつ、機械学習機能から得られた1以上の自動アクションを実行してセキュリティ脅威に応答するように指示する、コンピュータ可読媒体。
条項16: 該命令がプロセッサに対し、ユーザデバイスがセキュリティ脅威に危殆化されているとの検出に応答して、サーバにおいて、ユーザデバイスのネットワークへのアクセスの無効化を一定期間先送りし;セキュリティ脅威の挙動を記録するようにユーザデバイスに命令し:かつ、その期間中にインタフェイスコンポーネントを介してセキュリティ脅威の挙動をネットワーク上のサーバに報告するようにさらに指示する、条項15のコンピュータ可読媒体。
条項17: 該命令がプロセッサに対し、セキュリティ脅威の挙動を分析して、ネットワーク上のユーザデバイスに向けた攻撃パターンをプロファイルするようにさらに指示し、かつ、セキュリティ脅威の挙動が、キーストロークデータ、オーディオデータ、画像データ、アプリケーション使用データ又はファイルアクセス要求データのうちの1つ以上を含む、条項16のコンピュータ可読媒体。
条項18: 該命令がプロセッサに対し、セキュリティ脅威を受けやすいユーザデバイスのメモリに格納された機密情報を識別し;ユーザデバイスのメモリ内の、その機密情報に関連する誤ったデータセットを識別し;かつ、機密情報へのアクセス要求に応答して誤ったデータセットを提供するようにさらに指示する、条項15のコンピュータ可読媒体。
条項19: 該命令がプロセッサに対し、ユーザデバイスに関連付けられているサーバによって管理される別のユーザデバイスを識別し;かつ、別の使用デバイスに送信された、許可されたユーザがその別のユーザデバイスの近くにいることを確認せよという命令に基づいて、異常使用がセキュリティ脅威を表すものであるかどうかを判定するようにさらに指示する、条項15のコンピュータ可読媒体。
条項20: ユーザデバイスの使用履歴に基づいてユーザデバイスの異常使用を検出し、異常使用の情報を機械学習機能に入力し、機械学習機能の出力からサイバー脅威の特性を決定し、サイバー脅威の特性に基づいてユーザデバイスが実行する自動アクションを決定し、かつ、自動アクションを実行してサイバー脅威に応答するようにユーザデバイスへ命令するよう構成されているプロセッサを備える装置。
条項21: サイバー脅威の特性がユーザデバイスを介してあるタイプのデータにアクセスする脅威を含むとの判定に応答して、プロセッサが、そのタイプのデータへのアクセス要求に応答するための虚偽情報を提供するようにユーザデバイスへ命令するよう構成されている、条項20の装置。
条項22: サイバー脅威の特性がユーザデバイスのメモリ内に格納されているデータの情報漏洩に対する脅威を含むとの判定に応答して、プロセッサが、データを消去するようにユーザデバイスへ命令するよう構成されている、条項20の装置。
条項23: プロセッサが、ユーザデバイスから離れたサーバにおいて機械学習機能を実装する、条項20に記載の装置。
条項24: ユーザデバイスの使用履歴に基づいてデバイスの異常使用を検出すること;異常使用の情報を機械学習機能に入力すること;機械学習機能の出力からサイバー脅威の特性を決定すること;サイバー脅威の特性に基づいてデバイスが実行する自動アクションを決定すること;及び自動アクションを実行してサイバー脅威に応答するようにデバイスへ命令することを含む、方法。
条項25: 機械学習機能により、ネットワークインタフェイスを介してデバイスによって受信された通信パターンを確立すること;機械学習機能により通信パターン内の侵入イベントシーケンスを検出すること;及び侵入イベントシーケンスのグラフィカルシミュレーションを生成することをさらに含む、条項24の方法。
Further, the present disclosure includes embodiments according to the following clauses.
Clause 1: Monitor user interaction with a server configured to manage a plurality of user devices on a network and an interface component configured to communicate with the server on the network and user devices over time. to establish a usage profile, detect anomalous usage of the user device based on usage profile mismatches, determine whether the anomalous usage represents a security threat, and perform one or more automated actions A system comprising a user device comprising a processor implementing machine learning functionality configured to instruct the user device to respond to a security threat.
Clause 2: The server is configured to postpone disabling access to the network of the User Device for a period of time upon detecting that the User Device has been compromised by a security threat, and has a machine learning function is configured to instruct the user device to record the security threat behavior and report the security threat behavior to a server on the network during that period via the interface component.
Clause 3: The security threat behavior includes one or more of keystroke data, audio data, image data, application usage data or file access request data, and the server analyzes the security threat behavior to The system of Clause 2, configured to profile attack patterns directed at user devices above.
Clause 4: The system of Clause 2, wherein the machine learning functionality is configured to limit the ability of the user device to increase the amount of data collected regarding security threat behavior.
Clause 5: The machine learning function instructs the user device to activate at least one hardware component including one of a microphone, a camera and a network interface component, and monitors the at least one hardware component. The system of Clause 2, configured to record security threat behavior by:
Clause 6: The user device includes a radio interface component, and the machine learning function instructs the user device to activate the radio interface component to impersonate the wireless network, and the wireless device connecting to that wireless network. The system of Clause 1, configured to collect information and report the wireless device information to a server on the network.
Clause 7: A machine learning function identifies sensitive information stored in the memory of the user device that is susceptible to security threats, identifies erroneous data sets in the memory of the user device related to the sensitive information, The system of Clause 1, configured to provide an erroneous data set in response to a request to access information.
Clause 8: further comprising a remote server implementing a machine learning system configured to receive information about security threat behavior and to provide an erroneous data set to the user device based on security threat characteristics. 1 system.
Clause 9: Further comprising another user device managed by a server associated with the user device, and the machine learning function is transmitted to the other user device, wherein the authorized user uses the other user device 2. The system of Clause 1, configured to determine whether the abnormal use represents a security threat based on the verify proximity of the command.
Clause 10: The system of Clause 1, wherein the processor implements machine learning functionality in protected memory above the user device's operating system kernel or in one of the user device's hardware abstraction layers.
Clause 11: Communicate via the user device interface component with a server that manages multiple user devices on a network; implement machine learning capabilities with the processor of the user device; monitoring over time to establish a usage profile; detecting anomalous use of a user device based on usage profile discrepancies; determining whether the anomalous use represents a security threat; A method comprising instructing a user device to perform one or more automated actions obtained from a learning function to respond to a security threat.
Clause 12: In response to detection that the user device has been compromised by a security threat, postpone disabling the user device's access to the network for a period of time; 12. The method of clause 11, further comprising: instructing the user device to: and reporting security threat behavior to a server on the network via the interface component during the period.
Clause 13: further comprising analyzing security threat behavior to profile attack patterns directed at user devices on the network; 13. The method of clause 12, including one or more of data or file access request data.
Clause 14: One or more automated actions identify sensitive information stored in the memory of the user device that is susceptible to security threats; identify erroneous data sets associated with the sensitive information in the memory of the user device and providing an erroneous data set in response to a request for access to confidential information.
Clause 15: A non-transitory computer-readable medium embodying program instructions to be executed by a processor, the instructions being transmitted to the processor, via an interface component of the user device, over a network. Communicate with servers that manage devices; implement machine learning capabilities with user devices; monitor user interactions with user devices over time to establish usage profiles; and user device anomalies based on usage profile discrepancies detect the use; determine whether the abnormal use represents a security threat; and direct one or more automated actions derived from machine learning capabilities to respond to the security threat; computer readable medium.
Clause 16: The instructions cause the processor, in response to detecting that the user device has been compromised to a security threat, to delay, at the server, disabling the user device's access to the network for a period of time; 16. The computer-readable medium of clause 15, further instructing the user device to record the behavior of: and to report the security threat behavior to a server on the network during that period via the interface component.
Clause 17: The instructions further direct the processor to analyze security threat behavior to profile attack patterns directed at user devices on the network; 17. The computer-readable medium of Clause 16, comprising one or more of audio data, image data, application usage data or file access request data.
Clause 18: The instructions to the processor identify sensitive information stored in the memory of the user device that is susceptible to security threats; identify erroneous data sets associated with the sensitive information in the memory of the user device; 16. The computer-readable medium of clause 15, and further instructing to provide an erroneous data set in response to a request for access to confidential information.
Clause 19: The instructions identify to the processor another user device managed by the server associated with the user device; 16. The computer-readable medium of clause 15, further instructing to determine whether the abnormal use represents a security threat based on the confirm proximity to the device instruction.
Article 20: Detect abnormal use of the user device based on the history of use of the user device, input the abnormal use information into the machine learning function, determine the characteristics of the cyber threat from the output of the machine learning function, and determine the characteristics of the cyber threat and a processor configured to instruct the user device to perform the automatic action to respond to the cyber threat.
Clause 21: In response to determining that the cyberthreat profile includes a threat to access data of a certain type via the user device, the processor provides false information to respond to a request to access that type of data. 21. The apparatus of clause 20, configured to instruct a user device to provide.
Clause 22: The processor is configured to instruct the user device to erase data in response to determining that the cyber threat characteristics include a threat to information disclosure of data stored within the memory of the user device. Article 20 devices that are
Clause 23: The apparatus of Clause 20, wherein the processor implements machine learning functionality in a server remote from the user device.
Article 24: Detecting Abnormal Use of Devices Based on User Device Usage History; Inputting Abnormal Use Information into Machine Learning Functions; Determining Cyber Threat Characteristics from Machine Learning Function Outputs; Cyber Threats determining an automated action for the device to perform based on characteristics of the device; and instructing the device to perform the automated action to respond to the cyber threat.
Clause 25: Establishing communication patterns received by the device over the network interface by machine learning functions; detecting intrusion event sequences within the communication patterns by machine learning functions; and graphically simulating intrusion event sequences. 25. The method of clause 24, further comprising generating.
本明細書中で図示又は記載された種々の制御要素(例えば電気又は電子コンポーネント)のいずれもが、ハードウェア、プロセッサ実装ソフトウェア、プロセッサ実装ファームウェア、又はこれらの何らかの組み合わせとして実装され得る。例えば、ある要素は、専用ハードウェアとして実装され得る。専用ハードウェア要素は、「プロセッサ」、「コントローラ」、又は同様の何らかの専門用語で呼ばれてもよい。プロセッサによって提供される場合、機能は、単一の専用プロセッサによって、単一の共有プロセッサによって、又はいくつかが共有であり得る複数の個別のプロセッサによって提供され得る。さらに、「プロセッサ」又は「コントローラ」という用語の明示的な使用は、ソフトウェアを実行することができるハードウェアのみを表わすと解釈されるべきでなく、限定するものではないが、デジタル信号プロセッサ(DSP)ハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)又はその他の回路、フィールドプログラマブルゲートアレイ(FPGA)、ソフトウェア格納用の読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、不揮発性記憶装置、論理若しくは何らかの他の物理ハードウェアコンポーネント又はモジュールが黙示的に含まれてもよい。 Any of the various control elements (eg, electrical or electronic components) shown or described herein may be implemented as hardware, processor-implemented software, processor-implemented firmware, or some combination thereof. For example, certain elements may be implemented as dedicated hardware. A dedicated hardware element may also be referred to as a "processor," "controller," or some similar terminology. If provided by a processor, the functionality may be provided by a single dedicated processor, by a single shared processor, or by multiple separate processors, some of which may be shared. Furthermore, any explicit use of the terms "processor" or "controller" should not be construed to refer only to hardware capable of executing software, including, but not limited to, digital signal processors (DSP ) hardware, network processors, application specific integrated circuits (ASICs) or other circuits, field programmable gate arrays (FPGAs), read only memory (ROM) for storing software, random access memory (RAM), non-volatile storage , logic or some other physical hardware component or module may be implicitly included.
また、制御要素は、プロセッサ又はコンピュータによって実行可能な命令として実装されて、その要素の機能を実行することができる。命令のいくつかの例は、ソフトウェア、プログラムコード、及びファームウェアである。命令は、プロセッサによって実行されると動作可能になって、その要素の機能を実行するようにプロセッサへ指示する。命令は、プロセッサが読むことができる記憶デバイスに格納され得る。記憶デバイスのいくつかの例は、デジタル若しくはソリッドステートメモリ、磁気ディスク及び磁気テープなどの磁気記憶媒体、ハードドライブ又は光学的に読み取り可能なデジタルデータ記憶媒体である。 A control element may also be implemented as processor or computer executable instructions to perform the function of that element. Some examples of instructions are software, program code, and firmware. Instructions are operational when executed by a processor to direct the processor to perform the functions of the component. The instructions may be stored in any storage device readable by a processor. Some examples of storage devices are digital or solid state memories, magnetic storage media such as magnetic disks and magnetic tapes, hard drives or optically readable digital data storage media.
特定の実施形態が本明細書に記載されているが、本開示の範囲は、これらの特定の実施形態に限定されない。本開示の範囲は、以下の特許請求の範囲及びその均等物によって定められる。 Although specific embodiments are described herein, the scope of the disclosure is not limited to those specific embodiments. The scope of the disclosure is defined by the following claims and their equivalents.
Claims (10)
ネットワーク(102、124)上の複数のユーザデバイス(150-1、150-2、…、150-N)を管理するよう構成されているサーバ(108)と;
以下を備えるユーザデバイス(150):
前記ネットワーク上の前記サーバと通信するよう構成されているインタフェイスコンポーネント(202、303、402、502)及び
前記ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し、前記使用プロファイルの不一致に基づいて前記ユーザデバイスの異常使用を検出し、前記異常使用がセキュリティ脅威(128)を表すものであるかどうかを判定し、かつ、1以上の自動アクションを実行して前記セキュリティ脅威に応答するように前記ユーザデバイスへ命令するよう構成されている機械学習機能(210)を実装するプロセッサ(204、302、337)
とを備える、システム。 A system (100) comprising:
a server (108) configured to manage a plurality of user devices (150-1, 150-2, . . . , 150-N) on a network (102, 124);
A user device (150) comprising:
an interface component (202, 303, 402, 502) configured to communicate with said server on said network; and monitoring user interaction with said user device over time to establish a usage profile; detecting an abnormal use of the user device based on a mismatch of the user device, determining whether the abnormal use represents a security threat (128), and performing one or more automated actions to address the security threat (128); a processor (204, 302, 337) implementing a machine learning function (210) configured to instruct said user device to respond
and a system.
前記機械学習機能が、前記セキュリティ脅威の挙動を記録するように前記ユーザデバイスへ命令し、前記期間中に前記インタフェイスコンポーネントを介して前記セキュリティ脅威の挙動を前記ネットワーク上の前記サーバに報告するよう構成されている、請求項1に記載のシステム。 upon detecting that the user device has been compromised by the security threat, the server is configured to postpone disabling access to the network for the user device for a period of time; and
The machine learning function instructs the user device to record the security threat behavior and to report the security threat behavior to the server on the network via the interface component during the time period. 2. The system of claim 1 , configured.
前記機械学習機能が、前記無線インタフェイスコンポーネントをアクティブにして無線ネットワーク(124)を偽装するように前記ユーザデバイスへ命令し、前記無線ネットワークに接続する無線デバイス(126)の情報を収集し、前記無線デバイスの前記情報を前記ネットワーク上の前記サーバに報告するよう構成されている、請求項1又は2に記載のシステム。 the user device includes a wireless interface component (202); and
The machine learning function instructs the user device to activate the wireless interface component to impersonate a wireless network (124) to collect information of wireless devices (126) connecting to the wireless network; 3. The system of claim 1 or 2, configured to report said information of wireless devices to said server on said network.
ユーザデバイス(150)のインタフェイスコンポーネント(202、303、402、502)を介して、ネットワーク(102、124)上の複数のユーザデバイス(150-1、150-2、…、150-N)を管理するサーバ(108)と通信すること(1202);
前記ユーザデバイスのプロセッサ(204、302、337)に機械学習機能(210)を実装すること(602);
前記ユーザデバイスとのユーザインタラクションを経時的に監視(604)して、使用プロファイルを確立すること;
前記使用プロファイルの不一致に基づいて前記ユーザデバイスの異常使用を検出すること(606);
前記異常使用がセキュリティ脅威を表すものであるかどうかを判定すること(608);及び
前記機械学習機能から得られた1以上の自動アクションを実行して前記セキュリティ脅威に応答するように前記ユーザデバイスへ命令すること(610)
を含む、方法。 a method,
Multiple user devices (150-1, 150-2, . communicating (1202) with a managing server (108);
implementing (602) machine learning functionality (210) in a processor (204, 302, 337) of said user device;
monitoring 604 user interactions with the user device over time to establish a usage profile;
detecting 606 abnormal usage of the user device based on the usage profile mismatch;
determining 608 whether the abnormal use represents a security threat; and performing one or more automated actions derived from the machine learning function to respond to the security threat. instructing (610) to
A method, including
前記セキュリティ脅威の挙動を記録するように前記ユーザデバイスへ命令すること(806);及び
前記期間中に前記インタフェイスコンポーネントを介して前記セキュリティ脅威の前記挙動を前記ネットワーク上の前記サーバに報告すること(808)
をさらに含む、請求項6に記載の方法。 Postponing, at the server, disabling of the user device's access to the network for a period of time in response to detecting (802, 902, 1002, 1102) that the user device has been compromised by a security threat. (804);
instructing (806) the user device to record the behavior of the security threat; and reporting the behavior of the security threat to the server on the network via the interface component during the time period. (808)
7. The method of claim 6, further comprising:
ユーザデバイス(150)の使用履歴に基づいて前記ユーザデバイスの異常使用を検出し、前記異常使用の情報を機械学習機能(210)に入力し、前記機械学習機能の出力からサイバー脅威の特性を決定し、前記サイバー脅威の前記特性に基づいて前記ユーザデバイスが実行する自動アクションを決定し、かつ、前記自動アクションを実行して前記サイバー脅威に応答するように前記ユーザデバイスへ命令するよう構成されているプロセッサ(204、302、337)を備える、装置。 a device,
Detecting abnormal use of the user device (150) based on the history of use of the user device (150), inputting the information of the abnormal use into a machine learning function (210), and determining cyber threat characteristics from the output of the machine learning function. determine an automated action to be performed by the user device based on the characteristics of the cyber threat; and instruct the user device to perform the automated action to respond to the cyber threat. an apparatus comprising a processor (204, 302, 337) in which a
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/647,173 US10419468B2 (en) | 2017-07-11 | 2017-07-11 | Cyber security system with adaptive machine learning features |
| US15/647,173 | 2017-07-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019032828A JP2019032828A (en) | 2019-02-28 |
| JP7114375B2 true JP7114375B2 (en) | 2022-08-08 |
Family
ID=62916443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018131191A Active JP7114375B2 (en) | 2017-07-11 | 2018-07-11 | Cyber security system with adaptive machine learning function |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10419468B2 (en) |
| EP (1) | EP3428827B1 (en) |
| JP (1) | JP7114375B2 (en) |
| KR (1) | KR102498168B1 (en) |
| CN (1) | CN109246072B (en) |
| SG (1) | SG10201805535SA (en) |
Families Citing this family (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11941114B1 (en) * | 2018-01-31 | 2024-03-26 | Vivint, Inc. | Deterrence techniques for security and automation systems |
| US10963790B2 (en) | 2017-04-28 | 2021-03-30 | SparkCognition, Inc. | Pre-processing for data-driven model creation |
| US10623432B2 (en) * | 2017-06-21 | 2020-04-14 | International Business Machines Corporation | Mitigating security risks utilizing continuous device image reload with data integrity |
| US11095678B2 (en) | 2017-07-12 | 2021-08-17 | The Boeing Company | Mobile security countermeasures |
| US11770398B1 (en) | 2017-11-27 | 2023-09-26 | Lacework, Inc. | Guided anomaly detection framework |
| US11765249B2 (en) | 2017-11-27 | 2023-09-19 | Lacework, Inc. | Facilitating developer efficiency and application quality |
| US10498845B1 (en) | 2017-11-27 | 2019-12-03 | Lacework Inc. | Using agents in a data center to monitor network connections |
| US11894984B2 (en) | 2017-11-27 | 2024-02-06 | Lacework, Inc. | Configuring cloud deployments based on learnings obtained by monitoring other cloud deployments |
| US20220232024A1 (en) | 2017-11-27 | 2022-07-21 | Lacework, Inc. | Detecting deviations from typical user behavior |
| US11849000B2 (en) | 2017-11-27 | 2023-12-19 | Lacework, Inc. | Using real-time monitoring to inform static analysis |
| US11818156B1 (en) | 2017-11-27 | 2023-11-14 | Lacework, Inc. | Data lake-enabled security platform |
| US11916947B2 (en) | 2017-11-27 | 2024-02-27 | Lacework, Inc. | Generating user-specific polygraphs for network activity |
| US11785104B2 (en) | 2017-11-27 | 2023-10-10 | Lacework, Inc. | Learning from similar cloud deployments |
| US20220232025A1 (en) | 2017-11-27 | 2022-07-21 | Lacework, Inc. | Detecting anomalous behavior of a device |
| US11792284B1 (en) | 2017-11-27 | 2023-10-17 | Lacework, Inc. | Using data transformations for monitoring a cloud compute environment |
| US10038611B1 (en) * | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
| US20200036743A1 (en) * | 2018-07-25 | 2020-01-30 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and methods for predicting the likelihood of cyber-threats leveraging intelligence associated with hacker communities |
| CN110943961B (en) | 2018-09-21 | 2022-06-21 | 阿里巴巴集团控股有限公司 | Data processing method, device and storage medium |
| US11128668B2 (en) * | 2018-12-04 | 2021-09-21 | International Business Machines Corporation | Hybrid network infrastructure management |
| US11050793B2 (en) | 2018-12-19 | 2021-06-29 | Abnormal Security Corporation | Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior |
| US11824870B2 (en) | 2018-12-19 | 2023-11-21 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
| CN109823346B (en) * | 2019-01-23 | 2020-10-30 | 广州德晟人工智能科技有限公司 | Active safety early warning system and method based on big data |
| WO2020159439A1 (en) * | 2019-01-29 | 2020-08-06 | Singapore Telecommunications Limited | System and method for network anomaly detection and analysis |
| CN109857611A (en) * | 2019-01-31 | 2019-06-07 | 泰康保险集团股份有限公司 | Test method for hardware and device, storage medium and electronic equipment based on block chain |
| WO2020180300A1 (en) * | 2019-03-05 | 2020-09-10 | Mentor Graphics Corporation | Machine learning-based anomaly detections for embedded software applications |
| US11281629B2 (en) * | 2019-03-15 | 2022-03-22 | International Business Machines Corporation | Using and training a machine learning module to determine actions to be taken in response to file system events in a file system |
| US11386208B1 (en) * | 2019-05-16 | 2022-07-12 | Ca, Inc. | Systems and methods for malware detection using localized machine learning |
| US11824872B1 (en) * | 2019-05-31 | 2023-11-21 | United Services Automobile Association (Usaa) | Method and apparatus for anomaly detection for user behavior |
| CN113906426A (en) * | 2019-06-11 | 2022-01-07 | 索尼集团公司 | Information processing method, information processing apparatus, and program |
| US11341238B2 (en) | 2019-09-09 | 2022-05-24 | Aptiv Technologies Limited | Electronic device intrusion detection |
| US10805801B1 (en) * | 2019-10-02 | 2020-10-13 | International Business Machines Corporation | Automatic mobile device usage restriction |
| US11611576B2 (en) * | 2019-12-11 | 2023-03-21 | GE Precision Healthcare LLC | Methods and systems for securing an imaging system |
| US11783235B2 (en) | 2019-12-16 | 2023-10-10 | Hamilton Sundstrand Corporation | Real time output control in hardware based on machine learning |
| US11429069B2 (en) | 2019-12-16 | 2022-08-30 | Hamilton Sundstrand Corporation | Real time output control based on machine learning hardware implementation |
| KR102118588B1 (en) * | 2019-12-19 | 2020-06-03 | 주식회사 유니온플레이스 | Dedicated artificial intelligence system |
| US10873592B1 (en) | 2019-12-23 | 2020-12-22 | Lacework Inc. | Kubernetes launch graph |
| US11201955B1 (en) | 2019-12-23 | 2021-12-14 | Lacework Inc. | Agent networking in a containerized environment |
| US11188571B1 (en) | 2019-12-23 | 2021-11-30 | Lacework Inc. | Pod communication graph |
| US11470042B2 (en) | 2020-02-21 | 2022-10-11 | Abnormal Security Corporation | Discovering email account compromise through assessments of digital activities |
| US20210266341A1 (en) * | 2020-02-24 | 2021-08-26 | Strikeready | Automated actions in a security platform |
| US11477234B2 (en) | 2020-02-28 | 2022-10-18 | Abnormal Security Corporation | Federated database for establishing and tracking risk of interactions with third parties |
| US11252189B2 (en) | 2020-03-02 | 2022-02-15 | Abnormal Security Corporation | Abuse mailbox for facilitating discovery, investigation, and analysis of email-based threats |
| WO2021178423A1 (en) | 2020-03-02 | 2021-09-10 | Abnormal Security Corporation | Multichannel threat detection for protecting against account compromise |
| US11451576B2 (en) * | 2020-03-12 | 2022-09-20 | Abnormal Security Corporation | Investigation of threats using queryable records of behavior |
| WO2021217049A1 (en) | 2020-04-23 | 2021-10-28 | Abnormal Security Corporation | Detection and prevention of external fraud |
| CN113810360A (en) * | 2020-06-11 | 2021-12-17 | 苹果公司 | Network interface device |
| KR102370483B1 (en) * | 2020-06-19 | 2022-03-04 | 숭실대학교 산학협력단 | Resource monitoring device and method using hardware abstraction layer |
| US11483375B2 (en) | 2020-06-19 | 2022-10-25 | Microsoft Technology Licensing, Llc | Predictive model application for file upload blocking determinations |
| RU2770146C2 (en) * | 2020-08-24 | 2022-04-14 | Акционерное общество "Лаборатория Касперского" | System and method for protecting user devices |
| US11496522B2 (en) | 2020-09-28 | 2022-11-08 | T-Mobile Usa, Inc. | Digital on-demand coupons for security service of communications system |
| US11546368B2 (en) | 2020-09-28 | 2023-01-03 | T-Mobile Usa, Inc. | Network security system including a multi-dimensional domain name system to protect against cybersecurity threats |
| US11528242B2 (en) | 2020-10-23 | 2022-12-13 | Abnormal Security Corporation | Discovering graymail through real-time analysis of incoming email |
| US20220129560A1 (en) * | 2020-10-23 | 2022-04-28 | International Business Machines Corporation | Automated health-check risk assessment of computing assets |
| US11687648B2 (en) | 2020-12-10 | 2023-06-27 | Abnormal Security Corporation | Deriving and surfacing insights regarding security threats |
| US11775693B1 (en) * | 2020-12-10 | 2023-10-03 | University Of Florida Research Foundation, Inc. | Hardware trojan detection using path delay based side-channel analysis and reinforcement learning |
| US11930025B2 (en) * | 2021-04-15 | 2024-03-12 | Bank Of America Corporation | Threat detection and prevention for information systems |
| US20220337609A1 (en) * | 2021-04-15 | 2022-10-20 | Bank Of America Corporation | Detecting bad actors within information systems |
| US11831661B2 (en) | 2021-06-03 | 2023-11-28 | Abnormal Security Corporation | Multi-tiered approach to payload detection for incoming communications |
| CN114500038A (en) * | 2022-01-24 | 2022-05-13 | 深信服科技股份有限公司 | Network security detection method and device, electronic equipment and readable storage medium |
| US11658881B1 (en) | 2022-06-30 | 2023-05-23 | Bank Of America Corporation | System and method for predicting anomalous requests and preventing anomalous interactions in a network |
| CN116467102B (en) * | 2023-05-12 | 2023-11-14 | 杭州天卓网络有限公司 | Fault detection method and device based on edge algorithm |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005322261A (en) | 2005-05-27 | 2005-11-17 | Intelligent Wave Inc | Irregularity monitoring program, irregularity monitoring method and irregularity monitoring system |
| US20150213246A1 (en) | 2010-11-29 | 2015-07-30 | Biocatch Ltd. | Method, device, and system of generating fraud-alerts for cyber-attacks |
| JP2016511847A (en) | 2012-12-06 | 2016-04-21 | ザ・ボーイング・カンパニーThe Boeing Company | Context-aware network security monitoring for threat detection |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE458497T1 (en) * | 1998-09-11 | 2010-03-15 | Curis Inc | ANTAGONISTS OF 'HEDGEHOG' AND 'PATCHED' TO INHIBIT THE GROWTH AND DIFFERENTIATION OF CELLS AND TISSUES, AS WELL AS THEIR USES |
| US20020157020A1 (en) * | 2001-04-20 | 2002-10-24 | Coby Royer | Firewall for protecting electronic commerce databases from malicious hackers |
| WO2003090426A1 (en) * | 2002-04-17 | 2003-10-30 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
| CN1333552C (en) * | 2005-03-23 | 2007-08-22 | 北京首信科技有限公司 | Detecting system and method for user behaviour abnormal based on machine study |
| WO2008001972A1 (en) | 2006-06-26 | 2008-01-03 | The Industry & Academic Cooperation In Chungnam National University | Method for proactively preventing wireless attacks and apparatus thereof |
| US8181250B2 (en) | 2008-06-30 | 2012-05-15 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| US8402546B2 (en) | 2008-11-19 | 2013-03-19 | Microsoft Corporation | Estimating and visualizing security risk in information technology systems |
| US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
| US9117076B2 (en) | 2012-03-14 | 2015-08-25 | Wintermute, Llc | System and method for detecting potential threats by monitoring user and system behavior associated with computer and network activity |
| CN103138986B (en) * | 2013-01-09 | 2016-08-03 | 天津大学 | A kind of website abnormal based on visual analysis accesses the detection method of behavior |
| US9185083B1 (en) | 2013-05-23 | 2015-11-10 | The Boeing Company | Concealing data within encoded audio signals |
| US9395810B2 (en) | 2013-05-28 | 2016-07-19 | The Boeing Company | Ubiquitous natural user system |
| US9904356B2 (en) | 2013-05-28 | 2018-02-27 | The Boeing Company | Tracking a user to support tasks performed on complex-system components |
| US9262641B1 (en) | 2013-08-29 | 2016-02-16 | The Boeing Company | System and methods of providing data to a mobile computing device |
| CN105409265B (en) | 2013-08-29 | 2019-09-06 | 诺基亚技术有限公司 | Method and apparatus for adaptive security |
| US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US20150242760A1 (en) | 2014-02-21 | 2015-08-27 | Microsoft Corporation | Personalized Machine Learning System |
| US10382454B2 (en) * | 2014-09-26 | 2019-08-13 | Mcafee, Llc | Data mining algorithms adopted for trusted execution environment |
| CN104283889B (en) * | 2014-10-20 | 2018-04-24 | 国网重庆市电力公司电力科学研究院 | APT attack detectings and early warning system inside electric system based on the network architecture |
| US10102362B2 (en) * | 2014-12-26 | 2018-10-16 | Reliance Jio Infocomm Limited | Method and system of silent biometric security privacy protection for smart devices |
| US20160283860A1 (en) | 2015-03-25 | 2016-09-29 | Microsoft Technology Licensing, Llc | Machine Learning to Recognize Key Moments in Audio and Video Calls |
| CN106230849B (en) * | 2016-08-22 | 2019-04-19 | 中国科学院信息工程研究所 | A kind of smart machine machine learning safety monitoring system based on user behavior |
| CN106778259B (en) * | 2016-12-28 | 2020-01-10 | 北京明朝万达科技股份有限公司 | Abnormal behavior discovery method and system based on big data machine learning |
-
2017
- 2017-07-11 US US15/647,173 patent/US10419468B2/en active Active
-
2018
- 2018-06-14 KR KR1020180068355A patent/KR102498168B1/en active IP Right Grant
- 2018-06-27 SG SG10201805535SA patent/SG10201805535SA/en unknown
- 2018-07-02 CN CN201810706882.1A patent/CN109246072B/en active Active
- 2018-07-06 EP EP18182207.3A patent/EP3428827B1/en active Active
- 2018-07-11 JP JP2018131191A patent/JP7114375B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005322261A (en) | 2005-05-27 | 2005-11-17 | Intelligent Wave Inc | Irregularity monitoring program, irregularity monitoring method and irregularity monitoring system |
| US20150213246A1 (en) | 2010-11-29 | 2015-07-30 | Biocatch Ltd. | Method, device, and system of generating fraud-alerts for cyber-attacks |
| JP2016511847A (en) | 2012-12-06 | 2016-04-21 | ザ・ボーイング・カンパニーThe Boeing Company | Context-aware network security monitoring for threat detection |
Also Published As
| Publication number | Publication date |
|---|---|
| SG10201805535SA (en) | 2019-02-27 |
| CN109246072A (en) | 2019-01-18 |
| EP3428827B1 (en) | 2021-03-17 |
| US20190020669A1 (en) | 2019-01-17 |
| EP3428827A1 (en) | 2019-01-16 |
| US10419468B2 (en) | 2019-09-17 |
| CN109246072B (en) | 2023-06-16 |
| KR102498168B1 (en) | 2023-02-08 |
| KR20190006901A (en) | 2019-01-21 |
| JP2019032828A (en) | 2019-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7114375B2 (en) | Cyber security system with adaptive machine learning function | |
| US11882136B2 (en) | Process-specific network access control based on traffic monitoring | |
| US10462188B2 (en) | Computer network security system | |
| US10547642B2 (en) | Security via adaptive threat modeling | |
| US10924517B2 (en) | Processing network traffic based on assessed security weaknesses | |
| US10305926B2 (en) | Application platform security enforcement in cross device and ownership structures | |
| US20180302421A1 (en) | Real-time contextual monitoring intrusion detection and prevention | |
| US9571517B2 (en) | Synthetic cyber-risk model for vulnerability determination | |
| US9104864B2 (en) | Threat detection through the accumulated detection of threat characteristics | |
| US9892270B2 (en) | System and method for programmably creating and customizing security applications via a graphical user interface | |
| WO2018004600A1 (en) | Proactive network security using a health heartbeat | |
| GB2551735A (en) | Cloud storage scanner | |
| US20240031380A1 (en) | Unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network | |
| Huang et al. | Farsighted risk mitigation of lateral movement using dynamic cognitive honeypots | |
| US20220385683A1 (en) | Threat management using network traffic to determine security states | |
| Hafeez | A Platform for Safer and Smarter Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210705 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220614 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220705 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220727 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7114375 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |